本发明专利技术提供一种安全基线核查方法和设备,涉及通信领域,当运营商网络中设备配置有变更时,主动实时的核查变更的配置是否符合安全基线的安全要求,从而消除被核查设备的安全隐患,包括:接收被核查设备发送的SNMP消息;从所述SNMP消息中,获取携带有变更的配置参数的配置变更SNMP消息;所述配置变更SNMP消息是当所述被核查设备的配置发生变更时发送的;若所述配置变更SNMP消息中携带的变更的配置参数超过存储的基线核查模版的安全要求范围,则确定所述变更的配置参数不符合安全要求。本发明专利技术提供的安全基线核查方法和设备应用于安全基线核查。
【技术实现步骤摘要】
一种安全基线核查方法和设备
本专利技术涉及通信领域,尤其涉及一种安全基线核查方法和设备。
技术介绍
随着运营商网络应用日益丰富,网络技术架构不断演进,各类新的安全问题不断涌现,因此,各类安全检测方法也应运而生。其中,安全基线核查是最广泛采用的途径之一。 目前,安全基线核查是在运营商网络中各设备的配置发生变更的情况下,根据基线核查模板的安全要求与运营商网络、各设备的配置周期性进行手动或自动核查,从而核查出运营商网络、各设备的配置是否符合安全要求,其中,基线核查模板是多个被核查设备的各个配置的安全要求集合。以运维人员手动核查为例,假设运维人员每月15号10-12点核查运营商网络中各设备,若A设备的配置在I月I日半夜I点自动升级(也就是说A设备的配置在I月I号半夜I点发生变更),但是运维人员并不知道A设备的配置已经升级,运维人员会在14天后(I月15号)的10-12点对运营商网络中各设备核查,从而判断该各个设备(包括A设备)的配置是否符合安全要求。由于变更的配置可能存在不符合安全要求的情况,在被核查之前,有很长一段时间(14天)A设备和整个运营商网络都可能存在安全隐患。同理,周期性的自动核查也存在上述问题。
技术实现思路
本专利技术的实施例提供一种安全基线核查方法和设备,当运营商网络中设备配置有变更时,主动实时的核查变更的配置是否符合安全基线的安全要求,从而消除由于核查滞后存在的安全隐患。 为达到上述目的,本专利技术的实施例采用如下技术方案: 第一方面,一种安全基线核查方法,包括: 接收被核查设备发送的SNMP消息; 从所述SNMP消息中,获取携带有变更的配置参数的配置变更SNMP消息;所述配置变更SNMP消息是当所述被核查设备的配置发生变更时发送的; 若所述配置变更SNMP消息中携带的变更的配置参数超过存储的基线核查模版的安全要求范围,则确定变更的配置不符合安全要求。 第二方面,一种安全基线核查设备,包括: 配置变更监测模块,用于接收被核查设备发送的SNMP消息; 消息审计过滤模块,用于从所述SNMP消息中,获取携带有变更的配置参数的配置变更SNMP消息;所述配置变更SNMP消息是当所述被核查设备的配置发生变更时发送的; 对比模块,用于若所述配置变更SNMP消息中携带的变更的配置参数超过存储的基线核查模版的安全要求范围,则确定变更的配置不符合安全要求。 本专利技术实施例提供一种安全基线核查方法和设备,只要配置发生变更,就能够自动实时接收到携带有变更的配置参数的配置参数SNMP消息,再根据配置参数SNMP消息中的配置参数与存储的安全要求范围,判定该配置参数是否符合安全要求,因此,本专利技术提供的方法能够当运营商网络中设备配置有变更时,主动实时的核查变更的配置是否符合安全基线的安全要求,从而消除由于核查滞后存在的安全隐患。 【附图说明】 为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。 图1为现有的安全基线核查方法的示意图; 图2为本专利技术实施例提供的一种安全基线核查方法的流程图; 图3为现有的安全基线核查设备和本专利技术实施例的安全基线核查设备的示例图; 图4为本专利技术实施例提供的另一种安全基线核查方法的流程图; 图5为本专利技术实施例提供的一种安全基线核查设备的结构示意图; 图6为本专利技术实施例提供的另一种安全基线核查设备的结构示意图。 【具体实施方式】 下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。 首先对“安全基线” 一词进行解释说明。“安全基线”概念借用了传统的“基线”概念,“基线”是一种在测量、计算或定位中的基本参照。安全基线即是最基本的安全要求。例如在企业信息系统中建立安全基线,如对每个网元、应用系统都定义安全基准点,即设定满足最基本安全要求的条件,并在设备入网测试、工程验收和运行维护等设备全生命周期各个阶段加强和落实安全基线要求,则可以进行风险的度量,做到风险可控可管。其中,在安全基线版本不变的情况下,具体的核查基线核查过程如图1所示,包括:安全基线核查设备开启;被核查设备入网;设定安全基线;基线核查和控制;度量与输出核查结果。 实施例一 本专利技术实施例提供一种安全基线核查方法,如图2所示,其中,被核查设备是具有SNMP (Simple Network Management Protocol,简单网络管理协议)功能的设备,该方法可以包括: 步骤101、接收被核查设备发送的SNMP消息。 步骤102、从SNMP消息中,获取携带有变更的配置参数的配置变更SNMP消息;该配置变更SNMP消息是当所述被核查设备的配置发生变更时发送的。 步骤103、若配置变更SNMP消息中携带的变更的配置参数超过存储的基线核查模版的安全要求范围,则确定变更的配置参数不符合安全要求。 基线核查模版的安全要求范围包括被核查的各个设备的安全配置的安全要求,配置的安全要求主要包括了账号、口令、授权、密码、日志、IP(Internet Protocol,网络之间互连的协议)通信等方面安全范围,反映了系统自身的安全脆弱性。配置的安全要求与系统的相关性非常大,同一个配置项在不同业务环境中的配置的安全要求是不一样的,如在WEB (互联网)系统边界防火墙中需要开启HTTP (Hypertext transfer protocol,超文本传送协议)通信,但一个WAP (Wireless Applicat1n Protocol,无线应用协议)网关边界就没有这样的需求,因此在设计业务系统安全基线的时候,配置的安全要求安全配置是一个关注的重点。示例的,假设运维人员强制将密码长度为从原来的8变更成10,同时,被核查设备生成发送携带有变更的密码长度是10的配置变更SNMP消息,从而判断配置变更SNMP消息中的10是否在预设的范围[6,8]中,因此,由于10不再[6,8]中,认为变更的密码长度不符合安全要求。 这样一来,只要配置发生变更,就能够自动实时接收到携带有变更的配置参数的配置参数SNMP消息,再根据配置参数SNMP消息中的配置参数与存储的安全要求范围,判定该配置参数是否符合安全要求,因此,本专利技术提供的方法能够当运营商网络中设备配置有变更时,主动实时的核查变更的配置是否符合安全基线的安全要求,从而消除由于核查滞后存在的安全隐患。 进一步的,步骤102可以具体包括:根据预设关键字,从SNMP消息中确定出携带有变更的配置参数的配置变更SNMP消息。其中,SNMP消息报文可以包括SNMP协议版本号、团体名和协议数据单元,协议存储单元可以只存储关键字,也可以存储变更的配置参数和关键字。关键字可以是变更的配置参数存储在管理信息库的OID(Object identifier本文档来自技高网...
【技术保护点】
一种安全基线核查方法,其特征在于,包括:接收被核查设备发送的简单网络管理协议SNMP消息;从所述SNMP消息中,获取携带有变更的配置参数的配置变更SNMP消息;所述配置变更SNMP消息是当所述被核查设备的配置发生变更时发送的;若所述配置变更SNMP消息中携带的变更的配置参数超过存储的基线核查模版的安全要求范围,则确定所述变更的配置参数不符合安全要求。
【技术特征摘要】
1.一种安全基线核查方法,其特征在于,包括: 接收被核查设备发送的简单网络管理协议SNMP消息; 从所述SNMP消息中,获取携带有变更的配置参数的配置变更SNMP消息;所述配置变更SNMP消息是当所述被核查设备的配置发生变更时发送的; 若所述配置变更SNMP消息中携带的变更的配置参数超过存储的基线核查模版的安全要求范围,则确定所述变更的配置参数不符合安全要求。2.根据权利要求1所述的安全基线核查方法,其特征在于,所述从所述SNMP消息中,获取携带有变更的配置参数的配置变更SNMP消息,包括: 根据预设关键字,从所述SNMP消息中确定出携带有变更的配置参数的配置变更SNMP消息。3.根据权利要求2所述的安全基线核查方法,其特征在于, 在开机初始情况下,所述方法还包括:存储所述基线核查模版; 当变更的配置不符合安全要求,所述方法还包括: 显示用于提醒运维人员所述配置参数是否更改的第一提醒信息; 接收运维人员的第一更新指令; 根据所述第一更新指令,用所述变更的配置参数更新所述基线核查模版的对应的配置参数,得到更新后的基线核查模版。4.根据权利要求3所述的安全基线核查方法,其特征在于,所述方法还包括: 当设备配置变更完成时,显示用于提醒运维人员是否更新基线核查模板的第二提醒信息; 接收运维人员的第二更新指令; 根据所述第二更新指令,用所述更新后的基线核查模板代替所述基线核查模版,得到新的基线核查模板; 根据所述新的基线核查模板,生成新的基线核查模版的安全要求范围。5.根据权利要求3所述的安全基线核查方法,其特征在于,所述当设备配置变更完成时,显示用于提醒运维人员是否更新基线核查模板的第二提醒信息之后,所述方法还包括: 接收运维人员的不更新指令; 删除所述更新后...
【专利技术属性】
技术研发人员:唐磊,李姗姗,贾亦辰,马铮,高枫,白晓媛,俞播,姜楠,
申请(专利权)人:中国联合网络通信集团有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。